Với sự phát triển mạnh mẽ của nền công nghiệp 4.0 cùng sự gia tăng nhanh chóng các cuộc tấn công an ninh mạng trong thời điểm hiện tại, việc bảo vệ thông tin cho người dùng cuối là vô cùng quan trọng bởi đây là nút thắt dễ bị tấn công nhất trong hệ thống. Bắt kịp xu hướng công nghệ và nhu cầu của người dùng trong tương lai, nhóm sinh viên ngành An toàn thông tin (ATTT) - ĐH FPT HCM đã ựa chọn đề tài “Hệ thống xác thực 2 bước tích hợp phần cứng” để bảo vệ tốt nghiệp.
Chia sẻ về ý tưởng lựa chọn đề tài này, sinh viên Nguyễn Minh Hoàng - Khoá 10C ngành ATTT - thành viên nhóm, cho biết: “Mọi người đều thấy rõ việc đăng nhập bằng Username và Password thông thường tiềm ẩn nhiều rủi ro có thể lộ và khó quản lý mật khẩu, do đó nhóm mình muốn tích hợp thêm các phương thức khác để người dùng dễ dàng quản lý thông tin của mình hơn”.
Từ ý tưởng ban đầu, nhóm đã nghiên cứu, phát triển đề tài với 3 phần chính: Hệ thống trang web quản lý User, quản lý các ứng dựng tích hợp; Các giao thức để tăng cao độ bảo mật: TOTP, SMS TOTP và giao thức nổi bật nhất là U2F; Xây dựng các ứng dụng để tích hợp vào các ứng dụng online ở trên internet hỗ trợ cho xác thực.
Nhóm sinh viên thực hiện đề tài. Ảnh: NVCC. |
Trong đó, hệ thống xác thực 2 bước hay U2F (Universal 2nd Factor) là một chuẩn xác thực mở, được sử dụng để củng cố và đơn giản hóa phương thức xác thực 2 yếu tố bằng các thiết bị chuyên dụng. Các thiết bị này có khả năng lưu trữ khóa, nhờ đó có thể truy cập vào các thiết bị, dịch vụ một cách an toàn chỉ bằng một thiết bị xác thực duy nhất mà không yêu cầu cài đặt trình điều khiển hoặc phần mềm hỗ trợ nào trên hệ thống của người dùng đầu cuối.
Để xác thực qua thiết bị U2F, người dùng cần đăng nhập vào tài khoản sử dụng tên đăng nhập (username) và mật khẩu (password). Sau khi hệ thống dịch vụ kiểm tra mật khẩu là chính xác, hệ thống sẽ gửi challenge (trong đó có khóa điều khiển) tới thiết bị U2F. Tại đây, người dùng nhấn nút trên thiết bị để U2F tiến hành quá trình tạo và gửi response. Hệ thống dịch vụ sẽ kiểm tra response bằng việc sử dụng khóa công khai của thiết bị. Nếu kiểm tra thành công, người dùng có thể đăng nhập vào tài khoản. Đây là phương pháp xác thực 2 bước rất phù hợp trong lĩnh vực ngân hàng hoặc tổ chức chính phủ, đặc biệt là trong chính phủ điện tử.
Việc lựa chọn công nghệ U2F, theo các thành viên nhóm cho biết, U2F nổi bật với khả năng phòng chống tấn công phishing mà bất kỳ các sản phẩm, giải pháp yêu cầu chép mã OTP đều không thực hiện được.
Để thực hiện đề tài, các bạn trẻ đã phải đặt thêm thiết bị của Google từ Mỹ về và mất nửa tháng để thiết bị mới tới tay. Thiết bị này có thể giao tiếp qua MSC hoặc Bluetooth sẽ dễ dàng giao tiếp với máy tính hơn mà không phải cắm trực tiếp nhưng giá thành sẽ cao hơn nên để thực hiện đồ án này, nhóm chỉ mua giao tiếp bằng USB. Chính bởi vậy, nhóm mong muốn phát triển thêm phần cứng của riêng mình không phải đi mua phần cứng của nước ngoài.
Buổi bảo về đề tài của nhóm. Ảnh: NVCC. |
Suốt hơn 4 tháng thực hiện đề tài, các thành viên của nhóm đã phải thức trắng nhiều đêm liền, đặc biệt là khoảng thời gian một tháng trước hạn hoàn thành. Bạn Minh Tú chia sẻ: “Những kiến thức, kinh nghiệm, kỹ năng trong 4 năm học đã được áp dụng vào việc thực hiện đồ án kiến thức về mã hoá được học ở trường đã giúp nhóm nghiên cứu giao thức dễ hơn nhiều...”. Những kinh nghiệm trong kỳ On-job training ở FPT Software được làm rất nhiều dự án, chủ yếu là phát triển web cho các khách hàng Mỹ, Singapore... đã giúp nhóm có kinh nghiệm để phát triển dự án đi đúng hướng và chuyên nghiệp hơn.
Ngoài ra, một trong những khó khăn trong quá trình thực hiện đề tài của nhóm là việc tập hợp thành viên trong nhóm. Do đó, đòi hỏi các công việc độc lập phải được hoàn thành để những buổi gặp mặt giải quyết vấn đề hiệu quả hơn.
Thành quả cho những nỗ lực không biết mệt mỏi của các chàng trai K10C ngành An toàn thông tin là sự ghi nhận, đánh giá cao và đóng góp ý kiến đề hoàn thiện sản phẩm của các thầy cô trong hội đồng chấm đồ án sau 90 phút trình bày toàn bộ đề tài. Trong thời gian tới, nhóm bạn trẻ sẽ tiếp tục điều chỉnh, phát triển với hy vọng đề tài sẽ được đưa vào áp dụng thực tế, phục vụ cho các doanh nghiệp trong lĩnh vực ngân hàng hoặc tổ chức chính phủ, đặc biệt là chính phủ điện tử.
Phương thức xác thực U2F được nghiên cứu và phát triển bởi nhóm an ninh Google và Yubico với sự hỗ trợ của nhà sản xuất bán dẫn NXP (Next eXPerience), có mục tiêu đưa mật mã khóa công khai đến với thị trường đại chúng. U2F có giao thức mã nguồn mở, với phần cứng dễ sử dụng, thiết kế nhỏ gọn, thông minh và hiện đang được hỗ trợ mặc định trên rất nhiều các trình duyệt. Hiện U2F được triển khai trên hàng trăm triệu thiết bị với ước tính khoảng 1,5 tỷ tài khoản người dùng đang sử dụng và trên nhiều dịch vụ có quy mô lớn như Gmail, Dropbox, GitHub,… U2F đã được tích hợp mặc định trên hầu hết các trình duyệt, bao gồm Chrome/Chromium, Opera và Mozilla Firefox. Dù vậy, U2F chưa phổ biến tại Việt Nam. |
>> Bảo vệ tốt nghiệp ở Brunei, sinh viên FPT lập tức được tuyển dụng
Trần Vũ
Ý kiến
()